ES3015091T3 - System, method and computer programs for user authentication and/or authorization - Google Patents
System, method and computer programs for user authentication and/or authorization Download PDFInfo
- Publication number
- ES3015091T3 ES3015091T3 ES18382310T ES18382310T ES3015091T3 ES 3015091 T3 ES3015091 T3 ES 3015091T3 ES 18382310 T ES18382310 T ES 18382310T ES 18382310 T ES18382310 T ES 18382310T ES 3015091 T3 ES3015091 T3 ES 3015091T3
- Authority
- ES
- Spain
- Prior art keywords
- authentication
- capacitive
- user
- computing device
- authorization code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/36—User authentication by graphic or iconic representation
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/03—Arrangements for converting the position or the displacement of a member into a coded form
- G06F3/033—Pointing devices displaced or positioned by the user, e.g. mice, trackballs, pens or joysticks; Accessories therefor
- G06F3/039—Accessories therefor, e.g. mouse pads
- G06F3/0393—Accessories for touch pads or touch screens, e.g. mechanical guides added to touch screens for drawing straight lines, hard keys overlaying touch screens or touch pads
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/03—Arrangements for converting the position or the displacement of a member into a coded form
- G06F3/041—Digitisers, e.g. for touch screens or touch pads, characterised by the transducing means
- G06F3/044—Digitisers, e.g. for touch screens or touch pads, characterised by the transducing means by capacitive means
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/067—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
- G06K19/07—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
- G06K19/077—Constructional details, e.g. mounting of circuits in the carrier
- G06K19/07701—Constructional details, e.g. mounting of circuits in the carrier the record carrier comprising an interface suitable for human interaction
- G06K19/07703—Constructional details, e.g. mounting of circuits in the carrier the record carrier comprising an interface suitable for human interaction the interface being visual
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/29—Individual registration on entry or exit involving the use of a pass the pass containing active electronic elements, e.g. smartcards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Human Computer Interaction (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Telephone Function (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Storage Device Security (AREA)
Abstract
El sistema incluye una tarjeta pasiva (10) configurada para almacenar una primera porción de un código de autenticación o autorización mediante un conjunto de puntos capacitivos (11) en su superficie; y un dispositivo informático portátil (20) con una pantalla capacitiva, configurado para almacenar una segunda porción de dicho código. De esta manera, una vez que el usuario (1) ha solicitado acceso a un servicio o una operación específicos, y cuando la tarjeta pasiva (10) está en contacto con la pantalla capacitiva, el dispositivo informático portátil (20) está configurado para leer al menos una parte del conjunto de puntos capacitivos (11), decodificar la primera porción y firmar criptográficamente la primera porción decodificada utilizando dicha segunda porción almacenada, proporcionando así el código de autenticación o autorización, que se utiliza como clave criptográfica para otorgar acceso al usuario (1) a dicho servicio o operación. (Traducción automática con Google Translate, sin valor legal)The system includes a passive card (10) configured to store a first portion of an authentication or authorization code using an array of capacitive dots (11) on its surface; and a portable computing device (20) with a capacitive screen, configured to store a second portion of said code. In this way, once the user (1) has requested access to a specific service or operation, and when the passive card (10) is in contact with the capacitive screen, the portable computing device (20) is configured to read at least a portion of the array of capacitive dots (11), decode the first portion, and cryptographically sign the decoded first portion using said stored second portion, thereby providing the authentication or authorization code, which is used as a cryptographic key to grant the user (1) access to said service or operation. (Automatic translation with Google Translate, no legal value)
Description
DESCRIPCIÓNDESCRIPTION
Sistema, método y programas informáticos para la autenticación y/o autorización de usuario System, method and computer programs for user authentication and/or authorization
Campo de la invenciónField of the invention
La presente invención se refiere a sistemas y métodos de autenticación y/o autorización de usuario. En particular, la presente invención propone una tarjeta pasiva con puntos capacitivos en su superficie y un dispositivo informático portátil para usarse en soluciones de autenticación y/o autorización. The present invention relates to user authentication and/or authorization systems and methods. In particular, the present invention proposes a passive card with capacitive dots on its surface and a portable computing device for use in authentication and/or authorization solutions.
Antecedentes de la invenciónBackground of the invention
Los usuarios acceden constantemente a servicios y recursos desde dispositivos informáticos móviles y portátiles. La autenticación de los usuarios que acceden es de vital importancia para proteger el acceso a los propios servicios, recursos y datos sensibles, y para limitar el mismo a solo los usuarios autorizados. Users constantly access services and resources from mobile and portable computing devices. Authentication of accessing users is vitally important to protect access to services, resources, and sensitive data, and to limit access to authorized users only.
La necesidad de identificar a usuarios que consumen diferentes tipos de servicios está relacionada estrechamente con la prevención del robo de identidad, pero también debe considerarse la seguridad de la privacidad. Por lo tanto, es de un interés extremo determinar si los usuarios son quienes afirman ser, pero es igual de importante mantener la confidencialidad acerca de la información intercambiada en tal proceso. The need to identify users who consume different types of services is closely related to preventing identity theft, but privacy security must also be considered. Therefore, it is of utmost importance to determine whether users are who they claim to be, but it is equally important to maintain the confidentiality of the information exchanged in this process.
El proceso de identificación de usuario se basa habitualmente en algunas credenciales, cuya titularidad y verificación garantizan comprobar la identidad de usuario. Las credenciales usadas son emitidas habitualmente por una autoridad de confianza y son teóricamente imposibles (o al menos extremadamente difíciles) de falsificar, lo que permite determinar si los usuarios se corresponden, o no, con quienes afirman ser. The user identification process typically relies on certain credentials, the ownership and verification of which guarantee the user's identity. The credentials used are typically issued by a trusted authority and are theoretically impossible (or at least extremely difficult) to forge, making it possible to determine whether users are who they claim to be.
El proceso de identificación de usuario se construye sobre los así denominados mecanismos de validación o autenticación. Estos mecanismos se diseñan para validar cierta información que el usuario aporta para acceder a los servicios (digitales) solicitados. La información portada (que el usuario proporciona al mecanismo de autenticación para su validación) pertenece habitualmente a una de las siguientes categorías: algo que el usuario sabe (por ejemplo, una palabra clave secreta), algo que el usuario posee (por ejemplo, un objeto físico también denominado testigo físico, como una tarjeta inteligente, una tarjeta de SIM, una etiqueta de NFC...), algo que el propietario es (por ejemplo, cualquier característica física medible, que identifica unívocamente al usuario, como huellas dactilares o identificación de iris), algo que el usuario hace (por ejemplo, patrones de movimiento, firma, etc.), o algún lugar en el que el usuario está (por ejemplo, estar en una ubicación específica). Esta información es lo que se conoce como identificador o credencial digital. A veces se usa una combinación de información perteneciente a categorías diferentes de estas, para mejorar la seguridad. The user identification process is built on so-called validation or authentication mechanisms. These mechanisms are designed to validate certain information that the user provides to access the requested (digital) services. The information carried (which the user provides to the authentication mechanism for validation) typically falls into one of the following categories: something the user knows (e.g., a secret keyword), something the user possesses (e.g., a physical object also called a physical token, such as a smart card, SIM card, NFC tag, etc.), something the user owns (e.g., any measurable physical characteristic that uniquely identifies the user, such as fingerprints or iris identification), something the user does (e.g., movement patterns, signature, etc.), or a location where the user is (e.g., being in a specific location). This information is known as an identifier or digital credential. Sometimes a combination of information belonging to different categories is used to enhance security.
La eficacia de cualquier solución de autenticación no puede medirse solo en términos de seguridad - debido a que muchas de las mismas son equivalentes en ese aspecto - sino más bien dando cuenta también de la utilizabilidad, la facilidad de implementación y el coste y consumo de energía. Solo teniendo en cuenta todos estos aspectos al mismo tiempo es posible conseguir una adopción generalizada de la solución de autenticación por los usuarios. The effectiveness of any authentication solution cannot be measured solely in terms of security—because many of them are equivalent in that regard—but rather by also considering usability, ease of implementation, and cost and energy consumption. Only by considering all of these aspects simultaneously is it possible to achieve widespread user adoption of the authentication solution.
Uno de los defectos principales de las soluciones de autenticación actuales se representa por el hecho de que las credenciales de usuario (contraseña, testigo o huella dactilar de evento, etc.) son objeto de copia, husmeo por encima del hombro o robo por parte de observadores externos malintencionados, que pueden acceder entonces al servicio/activo objetivo falsificando su identidad como la de un usuario autorizado. One of the main flaws of current authentication solutions is that user credentials (password, event token or fingerprint, etc.) are subject to copying, shoulder snooping, or theft by malicious outside observers, who can then access the target service/asset by falsifying their identity as that of an authorized user.
Tam Vu y col.,"Capacitive Touch Communication: A Technique to Input Data through Devices' Touchscreen",describe un método para identificar y autenticar usuarios en dispositivos de pantalla táctil, basándose en artefactos ponibles que generan activamente una entrada, que será detectada por la pantalla capacitiva y se descodificará como una secuencia binaria. La solución descrita usa un dispositivo - anillo, reloj, etc. - activo como un transmisor continuo de baja potencia, para proporcionar a los usuarios autenticación (continua). Por el contrario, la presente invención usa un dispositivo (tarjeta) pasivo para autenticar al usuario final. Tam Vu et al., "Capacitive Touch Communication: A Technique to Input Data through Devices' Touchscreen," describes a method for identifying and authenticating users on touchscreen devices, based on wearable devices that actively generate an input, which will be detected by the capacitive screen and decoded as a binary sequence. The described solution uses an active device (ring, watch, etc.) as a low-power continuous transmitter, to provide users with (continuous) authentication. In contrast, the present invention uses a passive device (card) to authenticate the end user.
Mohamed Azard Rilvan y col.,"User authentication and Identification on smartphones by incorporating capacitive touchscreen", aprovecha una instantánea tomada por una pantalla capacitiva, de cuatro dedos o una oreja o un pulgar y la usa como clave para una autenticación de un solo uso para acceder a servicios o recursos específicos en el propio dispositivo. La solución descrita se basa en mediciones de características del cuerpo humano, no fiables al 100 % por naturaleza (y por afirmación de los autores). Además, la solución descrita no permite una división en múltiples sectores del área legible para proporcionar autenticación de múltiples servicios y/o solicitud aleatoria de un sector específico para la autenticación, y/o codificación de otros datos y metadatos. Mohamed Azard Rilvan et al., "User Authentication and Identification on Smartphones by Incorporating Capacitive Touchscreen," leverages a snapshot taken by a capacitive screen, of four fingers, an ear, or a thumb, and uses it as a key for one-time authentication to access specific services or resources on the device itself. The described solution relies on measurements of human body characteristics, which are not 100% reliable by nature (and by the authors' claim). Furthermore, the described solution does not allow for multiple division of the readable area into sectors to provide multi-service authentication and/or random request of a specific sector for authentication, and/or encoding of other data and metadata.
El documento de Sun, Jingchao, y col.,"Touchin: Sightless two-factorauthentication on multi-touch mobile devices"describe una solución para identificar usuarios en dispositivos móviles en función de un gesto ejecutado en la interfaz táctil del propio dispositivo móvil. La detección de gestos es independiente de la zona de pantalla en la que se ejecuta esta, lo que impide ataques por análisis de suciedad y hace más difícil el husmeo por encima del hombro. La solución descrita se basa en un factor de autenticación (es decir, el gesto de toque) que no puede traducirse de forma natural en una clave de cifrado, ni dividirse en diferentes sectores/áreas para implementar ni una autenticación multifuncional ni una autenticación basándose en una selección de sectores aleatoria. Además, la solución descrita presenta un conjunto no nulo de elementos visibles, es decir, la firma, que está sujeta por naturaleza a husmeo por encima del hombro. The paper by Sun, Jingchao, et al., "Touchin: Sightless two-factor authentication on multi-touch mobile devices," describes a solution for identifying users on mobile devices based on a gesture executed on the touch interface of the mobile device itself. Gesture detection is independent of the screen area where it is executed, which prevents dirt analysis attacks and makes shoulder snooping more difficult. The described solution relies on an authentication factor (i.e., the touch gesture) that cannot be naturally translated into an encryption key, nor can it be divided into different sectors/areas to implement either multi-functional authentication or authentication based on random sector selection. Furthermore, the described solution features a non-zero set of visible elements, i.e., the signature, which is inherently subject to shoulder snooping.
El documento US 9.652.066 describe un método para la lectura de huellas dactilares a lo largo de toda una pantalla capacitiva, también posible mientras se realizan otras acciones (toque, etc.). La lectura de huellas dactilares se usa entonces como factor de autenticación para el usuario, a la larga, de forma continua. La solución requiere hardware específico en el dispositivo de extremo (es decir, una capa de detección biométrica dactilar). Además, la solución descrita se basa en mediciones de características del cuerpo humano. En este sentido, la solución no es fiable al 100 % por naturaleza y no permite una división en múltiples sectores del área legible para proporcionar autenticación de múltiples servicios y/o solicitud aleatoria de un sector específico para la autenticación. Document US 9,652,066 describes a method for reading fingerprints across an entire capacitive display, also possible while performing other actions (touch, etc.). The fingerprint reading is then used as an authentication factor for the user, eventually on a continuous basis. The solution requires specific hardware on the end device (i.e., a fingerprint biometric detection layer). Furthermore, the described solution relies on measurements of human body characteristics. In this sense, the solution is not 100% reliable by nature and does not allow for splitting the readable area into multiple sectors to provide multi-service authentication and/or randomly requesting a specific sector for authentication.
El documento EP-A1 -2527955 se basa en la detección de objetos específicos por dispositivos móviles, mediante detección óptica o capacitiva, para activar un estado predeterminado del dispositivo (por ejemplo, en espera). A la larga, este puede usarse también para fines de autenticación, como se indica en la patente. La identificación de objetos propuesta en esta solicitud de patente tiene por objeto asociar un objeto común a un estado deseado (por ejemplo, cargador con en espera), pero no diferenciar múltiples instancias del mismo objeto, ni codificar un código singular específico en el objeto con fines de autenticación y/o cifrado. Document EP-A1-2527955 is based on the detection of specific objects by mobile devices, using optical or capacitive sensing, to activate a predetermined state of the device (e.g., standby). Ultimately, this can also be used for authentication purposes, as indicated in the patent. The object identification proposed in this patent application aims to associate a common object with a desired state (e.g., charger with standby), but not to differentiate multiple instances of the same object, nor to encode a specific unique code into the object for authentication and/or encryption purposes.
El documento WO-A1-2017143193 describe un método para identificar y autenticar usuarios en dispositivos de pantalla táctil, basándose en artefactos ponibles que generan activamente una entrada, que será detectada por la pantalla capacitiva y se descodificará como una secuencia binaria. Esta solución se refiere a la descrita también en el artículo de Tam Vu y col.,"Capacitive Touch Communication: A Technique to Input Data through Devices' Touchscreen".El método usa un dispositivo - anillo, reloj, etc. - activo como un transmisor continuo de baja potencia, para proporcionar a los usuarios autenticación (continua). Por el contrario, la presente invención usa un dispositivo (tarjeta) pasivo para autenticar al usuario final. Document WO-A1-2017143193 describes a method for identifying and authenticating users on touchscreen devices, based on wearable devices that actively generate an input, which will be detected by the capacitive screen and decoded as a binary sequence. This solution refers to the one also described in the article by Tam Vu et al., "Capacitive Touch Communication: A Technique to Input Data through Devices' Touchscreen." The method uses an active device - ring, watch, etc. - as a low-power continuous transmitter, to provide users with (continuous) authentication. In contrast, the present invention uses a passive device (card) to authenticate the end user.
El documento US-A1-2016004407 se refiere a un sistema de autenticación de usuario basándose en una tarjeta con un toque de superficie multitáctil. También se ha divulgado una superficie capacitiva multitáctil que identifica el objeto y autentica al usuario en función de un movimiento ejecutado por el usuario usando la tarjeta. Document US-A1-2016004407 relates to a user authentication system based on a card with a multi-touch surface touch. Also disclosed is a multi-touch capacitive surface that identifies the object and authenticates the user based on a gesture executed by the user using the card.
El sistema descrito tiene por objeto la autenticación de un conjunto de usuario que portan diferentes instancias de la misma tarjeta de autenticación. La solución descrita puede incluir un movimiento que el usuario debe ejecutar con la tarjeta sobre la superficie capacitiva, introduciendo restricciones limitantes sobre el tamaño de pantalla. De hecho, la solución descrita se diseña para la autenticación en pantallas capacitivas fijas más que en dispositivos móviles con una superficie capacitiva limitada, aunque también se describe una solución variante en el caso de uso de la superficie capacitiva de un teléfono móvil. Por último, no se da ninguna posibilidad de implementar una autenticación de múltiples servicios, ni una autenticación de múltiples sectores seleccionando un sector/área aleatorio en diferentes instancias de autenticación. Además, en esta solicitud de patente no se incluye ninguna posibilidad de usar el patrón de contacto como una parte de un código de cifrado. The described system is intended to authenticate a set of users carrying different instances of the same authentication card. The described solution may include a movement that the user must execute with the card on the capacitive surface, introducing restrictions on the screen size. In fact, the described solution is designed for authentication on fixed capacitive screens rather than on mobile devices with a limited capacitive surface, although a variant solution is also described for the use case of the capacitive surface of a mobile phone. Finally, there is no possibility of implementing multi-service authentication or multi-sector authentication by selecting a random sector/area in different authentication instances. Furthermore, this patent application does not include any possibility of using the contact pattern as part of an encryption code.
El documento KR-A-2016036133A divulga un sistema de autenticación de usuario y autorización de operaciones basándose en un sello de caucho que se aplica sobre una pantalla capacitiva de un dispositivo móvil y presenta un patrón capacitivo específico, permitiendo que el usuario se autentique para un servicio y/o autorice operaciones específicas. Esta solución no descodifica la secuencia de puntos capacitivos para dar un código, como tal, ni incluye el dispositivo en el proceso de autenticación y autorización. En la presente invención, además, el código descodificado a partir de la serie de puntos capacitivos se concatena con un código en el dispositivo para formar una clave singular, que se usa con fines de autenticación y autorización, pero también puede usarse para cifrar la comunicación con el servidor de servicios. Por último, esta solución no incluye múltiples zonas capacitivas para usarse con fines de aleatorización o para autenticar y autorizar diferentes servicios y operaciones. Document KR-A-2016036133A discloses a user authentication and transaction authorization system based on a rubber stamp applied to a capacitive screen of a mobile device and presenting a specific capacitive pattern, allowing the user to authenticate for a service and/or authorize specific operations. This solution does not decode the sequence of capacitive dots to give a code, as such, nor does it involve the device in the authentication and authorization process. In the present invention, furthermore, the code decoded from the series of capacitive dots is concatenated with a code on the device to form a unique key, which is used for authentication and authorization purposes, but can also be used to encrypt communication with the service server. Finally, this solution does not include multiple capacitive zones to be used for randomization purposes or to authenticate and authorize different services and operations.
El documento WO-A1 -2017024011 divulga un método que comprende recibir una indicación para iniciar una aplicación en un dispositivo móvil, mostrar una interfaz de usuario, por la aplicación, una solicitud para una captura de un patrón en un artículo, recibir, por la aplicación, una capturar patrones del artículo, determinar si la captura de patrones está completa y enviar la captura de patrones a un primer sistema remoto para autenticar una transacción. Las realizaciones divulgadas también incluyen una tarjeta que comprende una primera información visible sobre una cuenta asociada con la tarjeta, un elemento legible por máquina que comprende una segunda información (que puede tener información en común con la primera información) y un patrón que comprende al menos una marca que incluye al menos una de tinta invisible o tinta capacitiva, que no incluye la primera información o la segunda información. WO-A1-2017024011 discloses a method comprising receiving an indication to launch an application on a mobile device, displaying a user interface, by the application, a request for a capture of a pattern on an item, receiving, by the application, a capture of patterns from the item, determining whether the pattern capture is complete, and sending the pattern capture to a first remote system for authenticating a transaction. Disclosed embodiments also include a card comprising first visible information about an account associated with the card, a machine-readable element comprising second information (which may have information in common with the first information), and a pattern comprising at least one mark including at least one of invisible ink or capacitive ink, which does not include the first information or the second information.
El documento US-A1-2016004407 divulga un sistema para la autenticación de usuarios, particularmente adecuado para la autenticación de grupos de usuarios en entornos hospitalarios. El sistema comprende un objeto de autenticación provisto de un patrón geométrico redefinido para autenticar al usuario. El sistema comprende además una superficie multitáctil provista de una capa primaria y una capa secundaria. La superficie multitáctil está configurada para generar, en respuesta al patrón geométrico predefinido que se pone en contacto con la capa primaria, un patrón correspondiente de interacción eléctrica entre las capas primaria y secundaria, lo que permite una autenticación singular basada en dicho patrón de interacción eléctrica. Document US-A1-2016004407 discloses a system for user authentication, particularly suitable for authenticating groups of users in hospital environments. The system comprises an authentication object provided with a redefined geometric pattern for authenticating the user. The system further comprises a multi-touch surface provided with a primary layer and a secondary layer. The multi-touch surface is configured to generate, in response to the predefined geometric pattern contacting the primary layer, a corresponding pattern of electrical interaction between the primary and secondary layers, allowing singular authentication based on said electrical interaction pattern.
El documento WO-A1 -2009009788 desvela que los testigos de seguridad contienen datos que están cada uno cifrados de manera singular basándose en un identificador biométrico singular de un usuario autorizado de ese testigo. Los descodificadores reciben el testigo y el identificador biométrico del usuario, convierten el identificador biométrico en una clave biométrica y aplican la clave biométrica para desencriptar el testigo. De esta manera, los descodificadores autentican a los usuarios sin realizar una comparación de identificador biométrico. En algunas realizaciones, las piezas o conjuntos de los datos se almacenan en compartimentos de datos designados, que se cifran individualmente basándose en claves de autoridad, y todos los compartimentos de datos cifrados se cifran colectivamente basándose en la clave biométrica para crear el testigo. Los descodificadores almacenan únicamente las claves de autoridad correspondientes a los compartimentos de datos que tienen autorización para abrir. Además, en algunas realizaciones, el testigo y el identificador biométrico se cifran y se envían a un servidor de autenticación remoto para el descifrado del testigo. Document WO-A1-2009009788 discloses that security tokens contain data that is each uniquely encrypted based on a unique biometric identifier of an authorized user of that token. Decoders receive the token and the user's biometric identifier, convert the biometric identifier into a biometric key, and apply the biometric key to decrypt the token. In this manner, the decoders authenticate users without performing a biometric identifier comparison. In some embodiments, pieces or sets of data are stored in designated data compartments, which are individually encrypted based on authority keys, and all encrypted data compartments are collectively encrypted based on the biometric key to create the token. The decoders store only the authority keys corresponding to the data compartments they are authorized to open. Furthermore, in some embodiments, the token and the biometric identifier are encrypted and sent to a remote authentication server for decryption of the token.
Las soluciones conocidas siguen careciendo de una fiabilidad, una disponibilidad y una facilidad de uso altas. Por lo tanto, se necesitan más soluciones para autenticación y/o autorización de usuario. Known solutions still lack high reliability, availability, and ease of use. Therefore, more solutions for user authentication and/or authorization are needed.
Descripción de la invenciónDescription of the invention
Realizaciones de la presente invención proporcionan de acuerdo con un primer aspecto un sistema para autenticación y/o autorización de usuario, que comprende una tarjeta pasiva para almacenar una primera porción de un código de autenticación o autorización a través de un conjunto de puntos capacitivos incluidos en su superficie; y un dispositivo informático portátil que tiene una pantalla capacitiva y está configurado para almacenar una segunda porción de dicho código de autenticación o autorización. Embodiments of the present invention provide, according to a first aspect, a system for user authentication and/or authorization, comprising a passive card for storing a first portion of an authentication or authorization code via a set of capacitive points included on its surface; and a portable computing device having a capacitive display and configured to store a second portion of said authentication or authorization code.
En el sistema propuesto, una vez que el usuario ha solicitado acceso a un servicio específico o a una operación específica y cuando la tarjeta pasiva está en contacto con la pantalla capacitiva, el dispositivo informático portátil está configurado para leer al menos parte del conjunto de puntos capacitivos, descodificando la primera porción del código de autenticación o autorización, y para firmar criptográficamente la primera porción descodificada usando dicha segunda porción almacenada del código de autenticación o autorización, proporcionando el código de autenticación o autorización, que se usa como clave criptográfica para conceder acceso a dicho servicio específico solicitado u operación específica solicitada al usuario. Por lo tanto, el sistema propuesto representa una solución de autorización y/o autenticación altamente fiable, al tiempo que es utilizable, fácil de implementar, sencilla, barata y con un consumo de energía mínimo. In the proposed system, once the user has requested access to a specific service or a specific operation and when the passive card is in contact with the capacitive screen, the portable computing device is configured to read at least part of the set of capacitive dots, decoding the first portion of the authentication or authorization code, and to cryptographically sign the decoded first portion using said stored second portion of the authentication or authorization code, providing the authentication or authorization code, which is used as a cryptographic key to grant access to said requested specific service or specific operation requested to the user. Therefore, the proposed system represents a highly reliable authorization and/or authentication solution, while being usable, easy to implement, simple, cheap and with minimum power consumption.
Preferiblemente, el conjunto de puntos capacitivos es invisible a la inspección humana. Preferably, the array of capacitive points is invisible to human inspection.
De acuerdo con el sistema propuesto, algunos de los puntos capacitivos pueden incluir información acerca del usuario o metadatos acerca del distribuidor de tarjetas. La información o los metadatos se codifican preferiblemente con un sistema de codificación diferente del sistema de codificación usado para codificar la primera porción del código de autenticación o autorización. El conjunto de puntos capacitivos incluye al menos dos puntos capacitivos ubicados en partes predefinidas de la tarjeta pasiva. According to the proposed system, some of the capacitive points may include information about the user or metadata about the card issuer. The information or metadata is preferably encoded with a different encoding system than the encoding system used to encode the first portion of the authentication or authorization code. The set of capacitive points includes at least two capacitive points located on predefined portions of the passive card.
En una realización, la superficie de la tarjeta pasiva se divide en diferentes áreas/sectores lógicos, comprendiendo cada área/sector un conjunto de puntos capacitivos que codifican una primera porción diferente del código de autenticación o autorización de tal modo que cada primera porción diferente puede usarse para autenticar un servicio diferente o para autorizar una operación diferente. In one embodiment, the surface of the passive card is divided into different logical areas/sectors, each area/sector comprising a set of capacitive points encoding a different first portion of the authentication or authorization code such that each different first portion can be used to authenticate a different service or to authorize a different operation.
El dispositivo informático portátil puede incluir un teléfono móvil, un ordenador portátil o una tableta, entre otros. En una realización, la segunda porción del código de autenticación o autorización se almacena en un módulo de identificación de abonado (SIM) del dispositivo informático portátil. Como alternativa, en otra realización, la segunda porción se almacena en una memoria del dispositivo informático portátil con acceso restringido. The portable computing device may include a mobile phone, a laptop computer, or a tablet computer, among others. In one embodiment, the second portion of the authentication or authorization code is stored in a subscriber identification module (SIM) of the portable computing device. Alternatively, in another embodiment, the second portion is stored in a memory of the portable computing device with restricted access.
Las realizaciones de la presente invención también proporcionan, de acuerdo con un segundo aspecto, un método de autenticación y/o autorización de usuario. El método comprende almacenar una primera porción de un código de autenticación o autorización a través de un conjunto de puntos capacitivos incluido en una superficie de una tarjeta pasiva; almacenar una segunda porción del código de autenticación o autorización, en un dispositivo informático portátil que tiene una pantalla capacitiva; una vez que el usuario ha solicitado acceso a un servicio específico o a una operación específica y cuando la tarjeta pasiva está en contacto con la pantalla capacitiva, leer, por el dispositivo informático portátil, al menos algunos del conjunto de puntos capacitivos, descodificar la primera porción del código de autenticación o autorización; y firmar criptográficamente, por el dispositivo informático portátil, la primera porción descodificada usando la segunda porción almacenada del código de autenticación o autorización, proporcionando el código de autenticación o autorización, que se usa como clave criptográfica para conceder acceso a dicho servicio específico o dicha operación específica al usuario. Embodiments of the present invention also provide, according to a second aspect, a method for authenticating and/or authorizing a user. The method comprises storing a first portion of an authentication or authorization code via an array of capacitive dots included on a surface of a passive card; storing a second portion of the authentication or authorization code on a portable computing device having a capacitive display; once the user has requested access to a specific service or a specific operation and when the passive card is in contact with the capacitive display, reading, by the portable computing device, at least some of the array of capacitive dots, decoding the first portion of the authentication or authorization code; and cryptographically signing, by the portable computing device, the decoded first portion using the stored second portion of the authentication or authorization code, providing the authentication or authorization code, which is used as a cryptographic key for granting access to said specific service or said specific operation to the user.
De acuerdo con la invención propuesta, la primera porción del código de autenticación o autorización depende de la forma, el tamaño y/o la posición del conjunto de puntos capacitivos sobre la tarjeta pasiva. According to the proposed invention, the first portion of the authentication or authorization code depends on the shape, size and/or position of the set of capacitive points on the passive card.
En una realización, la lectura se realiza mientras la tarjeta pasiva está en contacto con la pantalla capacitiva en una posición específica, por ejemplo, una posición horizontal o una posición vertical de la tarjeta pasiva. Como alternativa, la lectura se realiza mientras la tarjeta pasiva ha experimentado un movimiento específico, por ejemplo, una rotación o un deslizamiento de la tarjeta pasiva. La posición específica o el movimiento específico pueden ser característicos de un servicio u operación particular solicitado por el usuario. In one embodiment, the reading is performed while the passive card is in contact with the capacitive display in a specific position, for example, a horizontal position or a vertical position of the passive card. Alternatively, the reading is performed while the passive card has undergone a specific movement, for example, a rotation or swipe of the passive card. The specific position or specific movement may be characteristic of a particular service or operation requested by the user.
En otra realización más, el almacenamiento de la segunda porción del código de autenticación o autorización en el dispositivo informático portátil se realiza después de darse la tarjeta pasiva al usuario. En este caso, la segunda porción puede almacenarse en el SIM del dispositivo informático portátil o en una memoria del mismo con acceso restringido. En caso de pérdida o robo de la tarjeta pasiva, esta última puede bloquearse (temporal o permanentemente) o puede reemplazarse a través de un canal seguro. In yet another embodiment, the storage of the second portion of the authentication or authorization code in the portable computing device occurs after the passive card is issued to the user. In this case, the second portion may be stored on the portable computing device's SIM or in a memory therein with restricted access. In the event of loss or theft of the passive card, it may be blocked (temporarily or permanently) or replaced via a secure channel.
Otras realizaciones de la invención que se desvelan en el presente documento incluyen programas de software para realizar las etapas de realización del método y operaciones anteriormente resumidas y desveladas en detalle a continuación. Más particularmente, un producto de programa informático es una realización que tiene un medio legible por ordenador que incluye instrucciones de programa informático codificadas en el mismo que cuando se ejecutan en al menos un procesador en un sistema informático provoca que el procesador realice las operaciones indicadas en el presente documento como realizaciones de la invención. Other embodiments of the invention disclosed herein include software programs for performing the steps of performing the method and operations summarized above and disclosed in detail below. More particularly, a computer program product is an embodiment having a computer-readable medium including computer program instructions encoded therein that when executed on at least one processor in a computer system cause the processor to perform the operations indicated herein as embodiments of the invention.
La presente invención presenta las siguientes ventajas singulares: The present invention has the following unique advantages:
• No requiere un hardware específico para funcionar, sino que se basa en hardware disponible en cualquier dispositivo informático portátil actual (es decir, un área de entrada capacitiva). • It does not require specific hardware to operate, but relies on hardware available in any current handheld computing device (i.e., a capacitive input area).
• No requiere precisión por parte del usuario en términos de gesto ejecutado, ya que la tarjeta pasiva presenta puntos de referencia para el lector, haciendo que el proceso sea más fácil de usar. • It does not require precision from the user in terms of the gesture executed, since the passive card presents reference points for the reader, making the process more user-friendly.
• Garantiza, de hecho, un factor doble de autenticación, debido a que el sistema está compuesto por dos componentes singulares, es decir, la tarjeta pasiva y el dispositivo informático portátil, cada uno de los cuales solo puede funcionar en correspondencia con el otro correspondiente. • It guarantees, in fact, a double authentication factor, because the system is composed of two unique components, namely the passive card and the portable computing device, each of which can only function in correspondence with the other.
• No requiere un dispositivo activo, sino solo una tarjeta pasiva del tamaño de una "tarjeta de crédito" común, fácil de portar y barata de producir. Además, el sistema es robusto frente a daño parcial de la tarjeta, gracias a la división de superficie multisector. • It doesn't require an active device, but rather a passive card the size of a common credit card, easy to carry and inexpensive to produce. Furthermore, the system is robust against partial card damage, thanks to multi-sector surface division.
• Es robusto frente a ataques, debido a que el código no es visible sobre la tarjeta (husmeo por encima del hombro, copia, fotografías distantes), se necesita un contacto físico para leer (y, a la larga, copiar la tarjeta) - a diferencia de NFC, la clave de autenticación se almacena parcialmente en la tarjeta pasiva y se almacena parcialmente en el dispositivo informático, haciendo que sea ineficaz usar la tarjeta en un dispositivo informático diferente (robo), la clave se codifica en una porción específica de la tarjeta, desconocida para el atacante, y el proceso de autenticación puede basarse cada vez en un código diferente, impredecible y generado aleatoriamente (virus troyanos, ataques de piratas informáticos o servicios de suplantación de identidad). Por lo tanto, es resistente a ataques de fuerza bruta al menos en 1/n de las veces, siendo "n" el número de códigos posibles. • It is robust to attacks because the code is not visible on the card (shoulder snooping, skimming, distant photographs), physical contact is required to read (and eventually copy) the card - unlike NFC, the authentication key is partially stored on the passive card and partially stored on the computing device, making it ineffective to use the card on a different computing device (theft), the key is encoded on a specific portion of the card, unknown to the attacker, and the authentication process may rely on a different, unpredictable, and randomly generated code each time (Trojan viruses, hacker attacks, or phishing services). It is therefore resistant to brute-force attacks at least 1/n of the time, where "n" is the number of possible codes.
• Es fácil y rápido de usar, debido a que el usuario solo tiene que colocar la tarjeta en la superficie capacitiva del dispositivo informático, sin requerir centrado de tarjeta o una colocación de tarjeta específica. • It is easy and quick to use, because the user only has to place the card on the capacitive surface of the computing device, without requiring card centering or specific card placement.
• Puede usarse para autenticar para diferentes servicios o para autorizar una clase diferente de operaciones, gracias a la división de superficie en múltiples sectores. • It can be used to authenticate for different services or to authorize a different class of operations, thanks to the surface division into multiple sectors.
• Puede usarse no solo como un testigo para identificación y autenticación, sino que una porción específica de los puntos capacitivos puede usarse para codificar información acerca del usuario (como un OpenID), o metadatos acerca del sistema y el distribuidor de tarjetas, entre otras posibilidades. Esta información se codificará usando un sistema de codificación - abierto - diferente para que su descodificación esté disponible para cualquier uso. • It can be used not only as a token for identification and authentication, but a specific portion of the capacitive points can be used to encode information about the user (such as an OpenID), or metadata about the system and the card issuer, among other possibilities. This information will be encoded using a different—open—coding system so that its decoding is available for any use.
Breve descripción de los dibujosBrief description of the drawings
Las ventajas y características previas, así como otras, se entenderán más completamente a partir de la siguiente descripción detallada de realizaciones, con referencia a los dibujos adjuntos, que deben considerarse de una forma ilustrativa y no limitante, en los que: The above advantages and features, as well as others, will be more fully understood from the following detailed description of embodiments, with reference to the attached drawings, which should be considered in an illustrative and non-limiting manner, in which:
La figura 1 ilustra un ejemplo de los puntos capacitivos incluidos en la tarjeta pasiva y una división en áreas/sectores posible. Figure 1 illustrates an example of the capacitive points included in the passive card and a possible division into areas/sectors.
La figura 2 es un diagrama de flujo de un proceso de autenticación de ejemplo. Figure 2 is a flowchart of an example authentication process.
Descripción detallada de realizaciones preferidasDetailed description of preferred embodiments
La presente invención propone un sistema y método de autenticación y/o autorización de usuario. La solución propuesta aprovecha la presencia de un área de entrada capacitiva en dispositivos informáticos portátiles 20 como un lector de una tarjeta pasiva 10 especial que incluye sobre su superficie un conjunto de puntos capacitivos 11 (véase la figura 1). Los puntos capacitivos 11 dan como resultado una presión sobre el área capacitiva, generando una entrada específica y singular. The present invention proposes a user authentication and/or authorization system and method. The proposed solution takes advantage of the presence of a capacitive input area on portable computing devices 20, such as a special passive card reader 10, which includes a set of capacitive points 11 on its surface (see Figure 1). The capacitive points 11 result in pressure on the capacitive area, generating a specific and unique input.
Los puntos capacitivos 11 son fáciles y baratos de implementar en una tarjeta de plástico común (un dispositivo pasivo), al tiempo que son invisibles a la inspección humana, haciendo que la solución sea robusta frente a husmeo por encima del hombro, fotografías distantes o escaneado, y la superficie de la tarjeta se mantiene disponible para cualquier impresión (marca, publicidad, etc.). Por otro lado, la lectura de tarjeta se ejecuta mediante una superficie capacitiva que está presente actualmente en cualquier dispositivo informático portátil 20 (por ejemplo, teléfono inteligente, tableta, portátil, etc. que tenga una pantalla táctil o panel táctil), no requiriendo ningún hardware adicional o específico, a diferencia de otras soluciones basándose en tecnología de NFC o lectura de huellas dactilares. The capacitive points 11 are easy and cheap to implement on a common plastic card (a passive device), while being invisible to human inspection, making the solution robust against snooping over the shoulder, distant photographs or scanning, and the card surface remains available for any printing (branding, advertising, etc.). Furthermore, the card reading is executed by means of a capacitive surface that is currently present in any portable computing device 20 (e.g., smartphone, tablet, laptop, etc. having a touch screen or touchpad), not requiring any additional or specific hardware, unlike other solutions based on NFC technology or fingerprint reading.
La tarjeta puede incluir un par de (o más) puntos capacitivos específicos ubicados en puntos preestablecidos de la tarjeta, por ejemplo, situados en dos esquinas opuestas, en tres esquinas diferentes como en los códigos OR en el caso de incluir tres puntos capacitivos, etc., para hacer sencilla la eliminación de cualquier desplazamiento de medición de la lectura de entrada y hacer más sencilla la lectura de tarjeta (es decir, no tener que centrar la misma con respecto a ninguna marca, ni colocar la misma en una posición específica). En caso de que la tarjeta solo incluya dos puntos capacitivos, estos tendrán una forma no simétrica y serán singulares en el patrón. The card may include a pair of (or more) specific capacitive dots located at pre-established points on the card, for example, located at two opposite corners, at three different corners as in OR codes in the case of including three capacitive dots, etc., to make it easy to eliminate any measurement offset from the input reading and make card reading easier (i.e., not having to center the card with respect to any mark, or place it in a specific position). If the card only includes two capacitive dots, these will have a non-symmetrical shape and will be singular in the pattern.
Preferiblemente, el tamaño, la forma o la posición de los puntos capacitivos 11, o una combinación de al menos dos de estas características (dependiendo de la calidad o cantidad de la información que se va a codificar) se usa para codificar una secuencia singular (o primera porción de un código de autenticación o autorización). El número de secuencias posibles es lo bastante alto como para garantizar la singularidad entre diferentes tarjetas creadas. Entonces, la secuencia singular se firma criptográficamente usando como una clave otra secuencia singular (o segunda porción del código de autenticación o autorización) almacenada en el dispositivo informático portátil 20 y obtenida preferiblemente en el momento de la instalación de una aplicación de software específica que se usará para realizar la lectura de la tarjeta pasiva 10, representando un emparejamiento singular con la secuencia singular (o primera porción) codificada en la tarjeta pasiva 10. La secuencia obtenida a partir de la concatenación representa el código de autenticación o autorización que puede usarse como una clave criptográfica para acceder al servicio requerido y/o autorizar la operación requerida. La porción del código almacenada en el dispositivo informático portátil 20 puede ubicarse en la tarjeta de SIM o en otras porciones de memoria con acceso restringido, como los elementos de seguridad (SE) que tienen algunos teléfonos inteligentes. Preferably, the size, shape or position of the capacitive points 11, or a combination of at least two of these characteristics (depending on the quality or quantity of the information to be encoded) is used to encode a unique sequence (or first portion of an authentication or authorization code). The number of possible sequences is high enough to guarantee uniqueness between different cards created. The unique sequence is then cryptographically signed using as a key another unique sequence (or second portion of the authentication or authorization code) stored in the portable computing device 20 and preferably obtained at the time of installation of a specific software application to be used to perform the reading of the passive card 10, representing a unique pairing with the unique sequence (or first portion) encoded in the passive card 10. The sequence obtained from the concatenation represents the authentication or authorization code that can be used as a cryptographic key to access the required service and/or authorize the required operation. The portion of the code stored on the portable computing device 20 may be located on the SIM card or other restricted access memory portions, such as the security elements (SE) found on some smartphones.
La presencia de dos porciones de código diferentes (primera porción y segunda porción o porción de código de tarjeta y porción de código de dispositivo, como también puede denominarse), ubicadas en dos dispositivos físicos diferentes (es decir, el dispositivo informático portátil 20 y la tarjeta pasiva 10) hacen que el sistema sea robusto frente a robo, debido a que el robo de solamente uno de los dos elementos no permite ningún acceso/autorización, mientras que la ausencia de los dispositivos se percibirá fácilmente, y los dispositivos de acceso pueden ser bloqueados de forma remota por el propio usuario a través de un procedimiento de software apropiado. The presence of two different code portions (first portion and second portion or card code portion and device code portion as it may also be called), located on two different physical devices (i.e. the portable computing device 20 and the passive card 10) make the system robust against theft, because the theft of only one of the two elements does not allow any access/authorization, while the absence of the devices will be easily perceived, and the access devices can be blocked remotely by the user himself through an appropriate software procedure.
Como puede verse en la realización de la figura 1, la superficie de la tarjeta pasiva 10 puede dividirse en diferentes áreas lógicas o sectores 12, comprendiendo cada uno un conjunto de puntos capacitivos que codifican una secuencia singular (o una primera porción diferente de un código de autenticación o autorización). As can be seen in the embodiment of Figure 1, the surface of the passive card 10 can be divided into different logical areas or sectors 12, each comprising a set of capacitive points that encode a singular sequence (or a different first portion of an authentication or authorization code).
La presencia de diferentes áreas 12 en la tarjeta pasiva 10, correspondientes a diferentes secuencias codificadas, permiten las siguientes funcionalidades adicionales para el sistema: The presence of different areas 12 on the passive card 10, corresponding to different coded sequences, allows the following additional functionalities for the system:
• Usar diferentes áreas 12 para acceder a diferentes servicios (por ejemplo, un banco n.° 1, un banco n.° 2, otro servicio, etc.) o para autorizar una clase diferente de operaciones. • Use different areas 12 to access different services (for example, bank No. 1, bank No. 2, another service, etc.) or to authorize a different class of transactions.
• Garantizar la redundancia en caso de daño parcial de la tarjeta pasiva 10. • Ensure redundancy in case of partial damage to the passive card 10.
• Permitir requerir el código correspondiente a un sector (o secuencia de sectores) aleatorio para diferentes instancias de la autenticación a un mismo servicio o de la autorización de una operación. Esto es funcionalmente equivalente a las tarjetas de código actuales distribuidas a clientes de bancos para el acceso a banca electrónica. Esto da como resultado coordenadas de acceso impredecibles, designadas aleatoriamente y, por lo tanto, impide un robo de código a través de sitios web falsos, virus troyanos o ataques de piratas informáticos, haciendo que la transacción sea segura. Esto permite no solo autenticar sino autorizar, únicamente en la misma tarjeta. • Allows the code corresponding to a random sector (or sequence of sectors) to be required for different instances of authentication to the same service or authorization of a transaction. This is functionally equivalent to the current code cards distributed to bank customers for accessing online banking. This results in unpredictable, randomly assigned access coordinates and therefore prevents code theft through fake websites, Trojan viruses, or hacker attacks, making the transaction secure. This allows not only authentication but also authorization on the same card.
La posición de la tarjeta pasiva 10 con respecto a la superficie de lectura (por ejemplo, horizontal/vertical, etc.) o un movimiento específico que hay que ejecutar con la tarjeta pasiva 10 sobre la superficie de lectura (por ejemplo, rotación, deslizamiento, etc.) puede usarse, o no, como un elemento de autenticación adicional para el sistema, basándose en algo que el usuario sabe. Por ejemplo, el sistema puede configurarse de una forma tal que una posición horizontal de la tarjeta pasiva 10 sobre la superficie de lectura es para acceder a un servicio dado, mientras que un deslizamiento de la tarjeta pasiva 10 sobre la superficie de lectura es para acceder a otro servicio dado diferente. The position of the passive card 10 relative to the reading surface (e.g., horizontal/vertical, etc.) or a specific movement to be executed with the passive card 10 on the reading surface (e.g., rotation, swipe, etc.) may or may not be used as an additional authentication element for the system, based on something known to the user. For example, the system may be configured such that a horizontal position of the passive card 10 on the reading surface is for accessing a given service, while a swipe of the passive card 10 on the reading surface is for accessing a different given service.
Con referencia a continuación a la figura 2, en la misma se ilustra una realización de un método de autenticación y/o autorización de usuario que usa el sistema propuesto. En primer lugar, se produce la tarjeta pasiva 10, codificando un código específico (la primera porción del código de autenticación o autorización) a través de la secuencia de puntos capacitivos 11 impresos sobre su superficie. Entonces, se le da al usuario 1 la tarjeta pasiva 10, y un código secreto específico (la segunda porción del código de autenticación o autorización), asociado con la tarjeta pasiva 10 como un par singular, se almacena en un área de memoria de confianza en su dispositivo informático portátil 20 (en este caso particular, un teléfono inteligente), preferiblemente cuando se instala la aplicación de software para realizar la lectura de la tarjeta pasiva 10. Referring now to Figure 2, one embodiment of a user authentication and/or authorization method using the proposed system is illustrated. First, the passive card 10 is produced by encoding a specific code (the first portion of the authentication or authorization code) via the sequence of capacitive dots 11 printed on its surface. Then, the passive card 10 is given to the user 1, and a specific secret code (the second portion of the authentication or authorization code), associated with the passive card 10 as a unique pair, is stored in a trusted memory area on his or her portable computing device 20 (in this particular case, a smartphone), preferably when the software application for reading the passive card 10 is installed.
El usuario 1 se conecta de forma remota a un servidor 30 que requiere acceso a un servicio específico (por ejemplo, banca electrónica, acceso a información restringida, etc.) o autorizar una operación específica (por ejemplo, transferencia de dinero, publicación de contenido, etc.). Este acceso puede ejecutarse o bien en el dispositivo informático portátil 20 o bien en cualquier otro dispositivo informático, incluyendo dispositivos fijos tales como un PC. User 1 connects remotely to a server 30 requiring access to a specific service (e.g., electronic banking, access to restricted information, etc.) or authorization of a specific operation (e.g., money transfer, content publishing, etc.). This access may be performed either on the portable computing device 20 or on any other computing device, including stationary devices such as a PC.
El servidor 30 requiere una autenticación de usuario específica para proceder con la operación requerida. El servidor 30 puede incluir en esta solicitud la identificación de un área de tarjeta 12 o secuencia de áreas de tarjeta específica, dependiendo de la implementación. Server 30 requires specific user authentication to proceed with the requested operation. Server 30 may include in this request the identification of a specific card area 12 or sequence of card areas, depending on the implementation.
Si el usuario 1 está accediendo al servicio desde un dispositivo informático diferente del dispositivo informático portátil 20, el dispositivo informático empleado se conecta al dispositivo informático portátil 20 usando una conexión segura y le requiere que proceda con el procedimiento de autorización. De lo contrario, el dispositivo informático portátil 20 procede directamente con el procedimiento de autenticación. El usuario 1 ubica la tarjeta pasiva 10 sobre la superficie capacitiva del dispositivo informático portátil 20, a la larga en una posición específica o con un movimiento específico; dependiendo de la implementación. La entrada de tarjeta (secuencia de puntos capacitivos en su superficie) es leída por el dispositivo informático portátil 20. Toda la superficie o una(s) área(s) específica(s) (o una secuencia específica de las mismas) es descodificada por la aplicación de software instalada en el dispositivo informático portátil 20. El código resultante se firma criptográficamente entonces usando como una clave el código singular (segunda porción del código de autenticación o autorización) almacenado en el dispositivo informático portátil 20 para obtener una clave criptográfica para ser usada por el dispositivo informático portátil 20 para confirmar la autenticación al servidor 30. If user 1 is accessing the service from a computing device other than the portable computing device 20, the computing device used connects to the portable computing device 20 using a secure connection and prompts the user to proceed with the authorization procedure. Otherwise, the portable computing device 20 proceeds directly with the authentication procedure. User 1 positions the passive card 10 on the capacitive surface of the portable computing device 20, either in a specific position or with a specific motion; depending on the implementation. The card input (sequence of capacitive points on its surface) is read by the portable computing device 20. The entire surface or a specific area(s) (or a specific sequence thereof) is decoded by the software application installed on the portable computing device 20. The resulting code is then cryptographically signed using as a key the unique code (second portion of the authentication or authorization code) stored on the portable computing device 20 to obtain a cryptographic key to be used by the portable computing device 20 to confirm the authentication to the server 30.
Por último, en función de la comunicación recibida, el servidor 30 autentica al usuario 1/autoriza la operación, o no. Finally, depending on the communication received, server 30 authenticates user 1/authorizes the operation, or not.
En el caso de pérdida/robo de uno de los dos componentes 10, 20 del sistema descrito, el usuario 1 puede requerir al distribuidor, detrás de una autenticación requerida específicamente: In the event of loss/theft of one of the two components 10, 20 of the described system, user 1 may request from the distributor, after a specifically required authentication:
• El bloque (temporal) de las operaciones ejecutadas con su usuario (por ejemplo, pérdida de ambos elementos). • The (temporary) block of operations executed with your user (for example, loss of both items).
• La cancelación de la tarjeta pasiva 10 poseída previamente y el reemparejamiento de su dispositivo informático portátil 20 con una nueva tarjeta pasiva 10, que se proporcionará a través de un canal seguro (por ejemplo, pérdida de la tarjeta pasiva 10). • Cancellation of the previously held passive card 10 and re-pairing of your portable computing device 20 with a new passive card 10, which will be provided through a secure channel (e.g., loss of the passive card 10).
• La cancelación del código poseído previamente para el dispositivo informático portátil 20 y el reemparejamiento de su tarjeta pasiva 10 con un nuevo dispositivo informático portátil 20 (por ejemplo, pérdida del dispositivo informático portátil 20). • Cancellation of the previously held code for the portable computing device 20 and re-pairing its passive card 10 with a new portable computing device 20 (e.g., loss of the portable computing device 20).
En una realización, como una característica adicional, una porción específica de los puntos capacitivos 11 puede usarse para codificar algún otra clase de información, incluyendo metadatos acerca del distribuidor o el propio sistema, o alguna información abierta acerca del usuario 1, sirviendo como un OpenID o como un nivel adicional de validación. Esta información se codificaría usando un sistema de codificación diferente, debido a que puede estar disponible para una descodificación abierta. In one embodiment, as an additional feature, a specific portion of the capacitive points 11 may be used to encode some other kind of information, including metadata about the vendor or the system itself, or some open information about the user 1, serving as an OpenID or as an additional level of validation. This information would be encoded using a different encoding system, because it may be available for open decoding.
Los métodos y sistemas analizados anteriormente son ejemplos. Diversas configuraciones pueden omitir, sustituir o añadir diversas etapas de método o procedimientos, o componentes de sistema según sea apropiado. Por ejemplo, en configuraciones alternativas, los métodos pueden realizarse en un orden diferente del descrito, y/o pueden añadirse, omitirse y/o combinarse diversas fases o etapas o módulos. Asimismo, características descritas con respecto a ciertas configuraciones pueden combinarse en diversas otras configuraciones. Diferentes aspectos y elementos de las configuraciones pueden combinarse de una forma similar. Asimismo, la tecnología evoluciona y, por lo tanto, muchos de los elementos son ejemplos y no limitan el alcance de la divulgación o las reivindicaciones. The methods and systems discussed above are examples. Various configurations may omit, substitute, or add various method steps or procedures, or system components as appropriate. For example, in alternative configurations, the methods may be performed in a different order than described, and/or various phases, steps, or modules may be added, omitted, and/or combined. Likewise, features described with respect to certain configurations may be combined in various other configurations. Different aspects and elements of the configurations may be combined in a similar manner. Furthermore, technology evolves, and therefore, many of the elements are examples and do not limit the scope of the disclosure or claims.
En la descripción se dan detalles específicos para proporcionar un entendimiento exhaustivo de configuraciones de ejemplo (incluyendo implementaciones). Sin embargo, las configuraciones pueden ponerse en práctica sin estos detalles específicos. Por ejemplo, se han mostrado circuitos, procesos, algoritmos, estructuras y técnicas bien conocidos sin ningún detalle innecesario para evitar complicar las configuraciones. Esta descripción solo proporciona configuraciones de ejemplo, y no limita el alcance, la aplicabilidad o las configuraciones de las reivindicaciones. Más bien, la descripción precedente de las configuraciones proporcionará a los expertos una descripción habilitante para implementar técnicas descritas. Pueden hacerse diversos cambios en la función y disposición de elementos sin apartarse del espíritu de la divulgación. Specific details are provided in the description to provide a thorough understanding of example configurations (including implementations). However, the configurations can be implemented without these specific details. For example, well-known circuits, processes, algorithms, structures, and techniques have been shown without any unnecessary detail to avoid complicating the configurations. This description only provides example configurations and does not limit the scope, applicability, or configurations of the claims. Rather, the preceding description of the configurations will provide those skilled in the art with an enabling description for implementing the described techniques. Various changes in the function and arrangement of elements may be made without departing from the spirit of the disclosure.
Además, pueden implementarse ejemplos de los métodos por hardware, software, firmware, soporte intermedio, microcódigo, lenguajes de descripción de hardware, o cualquier combinación de los mismos. Cuando se implementan en software, firmware, soporte intermedio o microcódigo, el código de programa o segmentos de código para realizar las tareas necesarias puede(n) almacenarse en un medio legible por ordenador no transitorio tal como un medio de almacenamiento. Unos procesadores pueden realizar las tareas descritas. In addition, examples of the methods may be implemented in hardware, software, firmware, middleware, microcode, hardware description languages, or any combination thereof. When implemented in software, firmware, middleware, or microcode, the program code or code segments for performing the necessary tasks may be stored on a non-transitory, computer-readable medium such as a storage medium. Processors may perform the described tasks.
Además, los ejemplos de ejemplo descritos en el presente documento pueden implementarse como operaciones lógicas en un dispositivo informático en un entorno de sistema informático en red. Las operaciones lógicas pueden implementarse como: (i) una secuencia de instrucciones, etapas o módulos de programa implementados por ordenador en ejecución en un dispositivo informático; y (ii) módulos de lógica o hardware interconectados en ejecución dentro de un dispositivo informático. Furthermore, the exemplary embodiments described herein may be implemented as logical operations on a computing device in a networked computing system environment. The logical operations may be implemented as: (i) a sequence of computer-implemented instructions, steps, or program modules executing on a computing device; and (ii) interconnected logic or hardware modules executing within a computing device.
Aunque la materia objeto se ha descrito en lenguaje específico de características estructurales y/o actos metodológicos, ha de entenderse que la materia objeto definida en las reivindicaciones adjuntas no está limitada necesariamente a las características o actos específicos descritos anteriormente. Más bien, las características y actos específicos descritos anteriormente se divulgan como formas de ejemplo de implementación de las reivindicaciones. Although the subject matter has been described in language specific to structural features and/or methodological aspects, it is to be understood that the subject matter defined in the appended claims is not necessarily limited to the specific features or aspects described above. Rather, the specific features and aspects described above are disclosed as exemplary embodiments of the claims.
Claims (13)
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP18382310.3A EP3564837B1 (en) | 2018-05-04 | 2018-05-04 | System, method and computer programs for user authentication and/or authorization |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES3015091T3 true ES3015091T3 (en) | 2025-04-29 |
Family
ID=62222552
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES18382310T Active ES3015091T3 (en) | 2018-05-04 | 2018-05-04 | System, method and computer programs for user authentication and/or authorization |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10841300B2 (en) |
| EP (1) | EP3564837B1 (en) |
| BR (1) | BR102019009097A2 (en) |
| ES (1) | ES3015091T3 (en) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES3008957T3 (en) | 2019-09-16 | 2025-03-25 | Telefonica Cybersecurity & Cloud Tech S L U | A system and a method for user authentication and/or authorization |
| CN111698248B (en) * | 2020-06-11 | 2021-06-11 | 杭州商湾网络科技有限公司 | Network authorization management method and system based on label |
| EP4016922A1 (en) * | 2020-12-17 | 2022-06-22 | Telefónica Cybersecurity & Cloud Tech, S.L.U. | A method for providing identity and authentication to a data-generation device and a data-generation device |
| US20250173419A1 (en) * | 2022-02-21 | 2025-05-29 | Telefónica Cybersecurity & Cloud Tech, S.L. | System, method and card for user authentication and/or authorisation |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2695439A1 (en) * | 2007-07-12 | 2009-01-15 | Innovation Investments, Llc | Identity authentication and secured access systems, components, and methods |
| US20100274653A1 (en) * | 2009-04-28 | 2010-10-28 | Ayman Hammad | Notification social networking |
| EP2527955B1 (en) | 2011-05-25 | 2017-12-20 | BlackBerry Limited | Proximity detection between a mobile device and a related object |
| EP2722739A1 (en) * | 2012-10-22 | 2014-04-23 | Cartamundi Turnhout N.V. | System comprising a card and a device comprising a touch sensor |
| EA201591414A1 (en) * | 2013-01-29 | 2016-01-29 | Мэри Грейс | SMART CARD AND SYSTEM BASED ON SMART CARD WITH ENHANCED MEANS OF PROTECTION |
| CN104956371A (en) | 2013-01-31 | 2015-09-30 | 皇家飞利浦有限公司 | Multi-touch surface authentication using authentication object |
| EP2869230B1 (en) * | 2013-10-29 | 2019-02-20 | Nxp B.V. | Method of operating a security token, computer program product and security token |
| KR20160036133A (en) | 2014-09-24 | 2016-04-04 | 원투씨엠 주식회사 | Method for Approving based on Touch by using Webpage |
| US9652066B2 (en) | 2015-01-27 | 2017-05-16 | Apple Inc. | Electronic device including finger biometric sensor including transparent conductive blocking areas carried by a touch display and related methods |
| US20170039567A1 (en) * | 2015-08-03 | 2017-02-09 | Capital One Services, LLC. | Systems and methods for item-based transaction authentication |
| WO2017143193A1 (en) | 2016-02-19 | 2017-08-24 | The Regents Of The University Of Colorado, A Body Corporate | Wearable token-based authentication for touch-enabled devices |
-
2018
- 2018-05-04 ES ES18382310T patent/ES3015091T3/en active Active
- 2018-05-04 EP EP18382310.3A patent/EP3564837B1/en active Active
-
2019
- 2019-05-03 BR BR102019009097-9A patent/BR102019009097A2/en unknown
- 2019-05-03 US US16/402,934 patent/US10841300B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP3564837A1 (en) | 2019-11-06 |
| US10841300B2 (en) | 2020-11-17 |
| EP3564837B1 (en) | 2025-02-26 |
| BR102019009097A2 (en) | 2019-11-12 |
| US20190342285A1 (en) | 2019-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11664997B2 (en) | Authentication in ubiquitous environment | |
| JP6381833B2 (en) | Authentication in the ubiquitous environment | |
| US8775814B2 (en) | Personalized biometric identification and non-repudiation system | |
| ES3015091T3 (en) | System, method and computer programs for user authentication and/or authorization | |
| ES3030278T3 (en) | Secure authentication based on passport data stored in a contactless card | |
| ES3008957T3 (en) | A system and a method for user authentication and/or authorization | |
| JP6691582B2 (en) | User authentication method and authentication management method | |
| WO2016013924A1 (en) | System and method of mutual authentication using barcode | |
| EP2795523A1 (en) | An authentication system and method | |
| EP2619940A2 (en) | Authentication | |
| ES2597808B1 (en) | METHOD AND AUTHENTICATION SYSTEM OF RADIO FREQUENCY IDENTIFICATION ELEMENTS, AND COMPUTER PROGRAM | |
| Kumari et al. | Different Authentication Schemes Used in Smart Phones |